OpenID Summit 2015の資料。 エンタープライズ分野におけるIDaaSの活用の可能性についてAzure ADをベースに紹介しています。

1. Azure ADにみる
エンタープライズ領域における
フェデレーションとIDaaSの活用
MVP for Directory Services
Naohiro Fujie / @phr_eidentity / http://idmlab.eidentity.jp
1

2. 自己紹介
• Blog
• IdM実験室（Identityに関することを徒然と）：http://idmlab.eidentity.p
• Social
• Facebook Page : eIdentity：https://www.facebook.com/eidentity
• Interest
• Enterprise Identity Management
• 記事
• 企業のID管理／シングルサインオンの新しい選択肢「IDaaS」の活用
（http://www.atmarkit.co.jp/ait/articles/1508/07/news034.html）
• その他
• JNSA アイデンティティ管理WG（書籍：「クラウド環境におけるアイデンティティ管理ガイドライン」etc）
• OpenID Foundation Japan 教育・翻訳WG（OAuth/OpenID Connect仕様翻訳）、エンタープライズ・アイデン
ティティWG
2

3. Agenda
• エンタープライズにおけるID管理の目的と動向
• 企業におけるID基盤のこれまで
• クラウド利用・グローバル化による変化
• 共通部分の外部化とIDaaSの可能性
• Azure Active Directory概要
• エンタープライズにおけるAzure ADの活用
• 共同利用アプリケーションとのID連携
• 企業内ID基盤とのID連携
• まとめ
3

4. エンタープライズにおけるID管理の目的と動向
• そもそもID基盤を導入したい訳ではない
• 大体のプロジェクトはこんな理由で始まる
• アプリケーションをグループ＆グローバル
で共同利用したい
• 監査に引っかかった
• クラウド・サービス
（Office365,GoogleApps,Salesforce等）
を使いたい
• BYODを導入したいが統制は効かせたい
4
運用効率化
セキュリティ 利便性向上
法令対応／
内部統制
グローバル
クラウド
モバイル

5. 企業におけるID基盤のこれまで
5
管理者
源泉情報（人事DB等）
ID管理システム
統合認証システム
アプリケーション
- IDライフサイクル管理機能
（人事業務/イベントに合わせた
アカウント管理）
- ID同期機能
（認証用IDの同期）
SSO
利用者
IDメンテナンス
- PWDリセット
- ID作成/更新/削除
IDメンテナンス
- PWDリセット、
- プロファイル
メンテナンス
認証機能（統合認証システム）
• ID/PWDなどでログオン制御を行う
• アプリケーションの認証機能を外出し、共同で利用することでシングルサインオ
ンを実現する
• 一般に、認証に使うID情報（社員番号やパスワード）はID管理システムを使っ
て管理される
認可機能（アプリケーション）
• ログオン後、ユーザの権限（メニューを出す・出さない等）制御を行う
• 一般に制御自体はアプリケーション側で行い、認可に必要な情報（役職や所属組
織）はID管理システムを使って管理される
ID同期機能（ID管理システム）
• ID管理システムから認証システムへ、認証に使うID情報（社員番号やパスワー
ド）を同期する
• ID管理システムからアプリケーションへ、認可に使うID情報（役職や所属組
織）を同期する
- ID同期機能
（認可用IDの同期）
IDライフサイクル管理機能（ID管理システム）
• ID情報を源泉（人事等）から取り込み、人事イベントに応じて認証システムや
各アプリケーションへ必要なID情報を同期する
• 管理者や利用者自身でIDのメンテナンスを行う（パスワード・リセット、プロ
ファイルメンテナンス等）
ID（アイデンティティ）基盤
個別アプリケーションの運用に
合わせたID配信ロジックの作り
こみ
アプリケーションと密結合した
認証システム

6. クラウド利用・グローバル化による変化
管理者
源泉情報（人事DB等）
ID管理システム
統合認証システム
アプリケーション
SSO
利用者
親会社
管理者
ID管理システム
アプリケーション
SSO
利用者
源泉情報（人事DB等）
統合認証システム
関係会社
業務要件
アプリケーションの共同利用
利用要件
SSO継続
管理・運用要件
共同利用アプリケーションへ
の複数社からのID同期

7. 共通部分の外部化とIDaaSの可能性
（Identity as a Service）
管理者
個社
源泉情報
（人事DB等）
個社
ID管理システム
個社
統合認証
システム
個社アプリ
SSO
利用者
管理者
個社
ID管理システム
個社アプリ
利用者
個社
源泉情報
（人事DB等）
個社
統合認証
システム
親会社 関係会社SaaSアプリ
（共同利用）
SSO
IDaaS
（共同利用）
ID連携
（対APL）
ID連携
（対認証SYS）
ID同期
（対APL）
ID同期
（対ID管理）
IDaaSに求められる要件
個社のシステムや運用を極力変えずに、共同利
用アプリケーションを各社が便利かつセキュア
に利用できるようにすること
⇒クラウド提供されるコントロールポイント

8. Azure AD の役割 ～ Identity as a Service
利用者の利便性と
管理コスト低減
• セルフサービス
クラウドアプリへ
のアクセス制御
• コンディショナ
ルアクセス
証跡管理
• 監査ログ
• セキュリティレ
ポート
クラウド上のディ
レクトリサービス
• ユーザー管理
• 認証
• 特権管理
出典）日本マイクロソフト安納氏資料
https://docs.com/junichia/3924

9. Azure AD Join
パスワード連携
OMA-DM
オンプレミス
SAML 2.0
WS-Federation
OpenID Connect
OAuth 2.0
Identity is control plane
ID
管理
認証
Active
Directory
ID Sync
SSO
業界標準プロトコルの
サポート
他社 SaaS との ID 連携
Microsoft
Passport
Windows Hello
Windows 10
Browser
セキュリティ
ポリシー
アプリ配布/利用制限
暗号化,
権限追跡
BYOD/CYOD
社内業務 SAML 2.0
WS-Fed.
監査
ﾛｸﾞ解析
ｼｬﾄﾞｳIT検出
Azure Machine
Learning
Intune
Azure RMS
Subscription
RBAC
…
Proxy
Connector
KCD
ID 同期
アクセス制御
特権 ID 管理
RBAC 多要素認証必須
アクセスOK
アクセス不可ID
連携
Rights
Management
MDM/
MAM/
MCM
B2B
Azure IaaS
Domain
Services
VPN
2015.10.27 版
Kerberos
ldap
NTLM
Group Policy
SPNego
IWA
対個社の認証システム、ID管理
システムのID連携・ID同期 対共同利用アプリケーションの
ID連携・ID同期
出典）日本マイクロソフト安納氏資料
https://docs.com/junichia/3924

10. 共同利用アプリケーションとのID連携
（Federation／SSO）
• 標準プロトコルに対応したアプリケーションとのID連携
• SAML ： Google Apps / salesforce.com / Box etc
• OpenID Connect ： カスタムアプリ
• ws-federation ： Office 365 etc
• Federationの他、パスワードベースSSO（ブラウザプラグイン）にも対応
• 多数のアプリケーションへの対応
• 2,500種類以上のプリセットされたアプリケーションからの選択
• カスタムアプリとの連携
• アプリケーションサーバ（WebLogic / WebSphere / Jbossなど）との基盤レベルでの連携を行うことで業務ロ
ジックとIDレイヤを分離
10

11. 共同利用アプリケーションとのID連携
（ID同期／プロビジョニング）
• 主要なSaaSアプリケーションへのID同期／プロビジョニングに対応
• Google Apps / salesforce.com / Box etc
11

12. 12

13. 共同利用アプリケーションとのID連携
（その他）
• 利用条件によるアクセスコントロール
• 条件
• 接続元ネットワーク
• 適用対象および適用除外対象
• グループ（属性ベースの動的グルーピングも可能）
• 制御内容
• 多要素認証の要求
• アクセスのブロック
13
営業部に所属する社員
社外からのアクセス
多要素認証の強制ブロック
No Yes
例）営業部以外の社員は社外からの
アクセスをブロックする

14. 14

15. 企業内ID基盤とのID連携
（ID連携、ID同期）
• Azure AD Connect
• AD FSおよびAzure AD Syncを同梱したパッケージ
• AD FS（Active Directory Federation Services）
• 社内のActive Directoryを使うws-federation / SAMLに対応したIdentity Provider
• Azure ADとはws-federationでID連携
• Azure AD Sync
• 社内のActive DirectoryとAzure ADの間でID（ユーザ、グループ等）を同期
• 複数のフォレストからの同期が可能
• パスワードハッシュをリアルタイムでAzure ADへ同期可能 15

16. 各社で個社ADをこれまで通り管理するだけで
ユーザに影響を出さずに共同利用APLを利用可能
管理者
個社
源泉情報
（人事DB等）
個社
ID管理システム
個社
統合認証
システム
個社アプリ
SSO
利用者
管理者
個社
ID管理システム
個社アプリ
利用者
個社
源泉情報
（人事DB等）
個社
統合認証
システム
親会社 関係会社アプリケーション
（共同利用）
SSO
IDaaS
（共同利用）
ID連携
（対APL）
ID連携
（対認証SYS）
ID同期
（対APL）
ID同期
（対ID管理）
Azure AD
AD FS AD FS
Azure AD
Sync
• 各社にAD FSを配置しAzure ADと連携
• Azure AD Synで各社ADよりIDをAzure
ADへ同期
⇒ユーザはこれまでと同じID/PWDで共同
利用APLへログイン可能

17. まとめ
• グローバル化に伴い、グループ企業間での共同業務が増加している
• それに伴い、クラウド・サービスの活用が進んでいる
• IT管理者は変化に対応するためにリーズナブルなID基盤を用意する必
要がある
• ID連携をコア要素とするIDaaSがその課題への一つの解となりえる
• Azure ADをはじめとする各IDaaSはすでに必要な機能を実装しており、
既存の環境への影響を最低限にとどめつつクラウドへシフトできる
17